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Procede, systeme, dispositif destines a prouver Pauthenticite d'une 
entite et/ou l'integrite et/ou Pauthenticite d'un message. 

La presente invention concerne ies procedes, ies sysiemes ainsi que les 
dispositifs destines a prouver Pauthenticite d'une entite et/ou l'integrite 
et/ou Fauthlmticite^'un messager - ~~ 
Le brevet EP 0 311 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
dfcignanf par les teraies : "brevet GO" ou "procede GO". Par Is suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le procede GQ, une entite appelee " autorite de confiance " attribue 
une identic a chaque entite appelee " temoin" et en calcule la signature 
RSA; durant un processus de personnalisation, 1' autorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
"Void mon identite ;j'en connais la signature RSA." Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribute par l'autorite de confiance, une 
entite appelee "controleur" verifie sans en prendre connaissance que la 
signature. RSA correspond z I'identite prociamee. Les necanismes utilisan* 
le procede GQ se deroulent "sans transfert de connaissance". Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
l'autorite de confiance signe un grand nombre d'identites. 
Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant sensiblement la 
meme taille eleves a des puissances de l'ordre de 2 16 + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 



precedes tels que le procede GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. D est rappele ici, qu'en 
cherchant a accroitre la securite des cartes de paiement, les autorites 
bancaires posent un probleme particulierement delicat a resoudre. En efifet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longues et distinctes pour 
chaque cane tout en evitant que k charge de travail z'' e.zirzme dee tempf 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure ou, en outre, il convient de tenir compte de 
rinfrastructure en place et des composants microprocesseurs existants. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives" contre les 
diverses normes de signature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
performances pai rappon a la technologie RSA : c 5 autre pan. evite: j.ec 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour l'entite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 

Procede 

Methode des restes chinois appliqu£e a la famille GQ 
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Plus particulierement, 1' invention conceme un procede destine a prouver a 
une entit6 controleur, 

- l'authenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entit6. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G„ G 2 , ... 
G m (ra etani superieur ou egal I 1], 

- un module public n constitue par le produit de f facteurs premiers p„ 
p 2 , . .. p f (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 

du type : 

d . Q, v s 1 . mod nouG, = Q 8 V mod n ; 
Ledit procede met en oeuvre selon les etapes ci-apres definies une entite 
appelee temoin disposant des f facteurs premiers pj et/ou des parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou des m 
valeurs privees Q s et/ou des f.m composantes Q u , (Qi, j = Qi mod p } ) des 
vaieurs privees QjC'i de I' exposant public 

Le temoin calcule des engagements R dans l'anneau des entiers modulo n. 
Chaque engagement est calcule en effectuant des operations du type 

RjSir/modp, 

ou r t est un alea associe au nombre premier p, tel que 0 < r k < p, , chaque r, 
appartenant a une collection d'aleas {i^ , r 2 , ... r f } ,puis en appliquant la 
methode des restes chinois, 

Ainsi, le nombre d'operations arithmetiques modulo p s a effectuer pour 
calculer chacun des engagements R; pour chacun des p, est r6duit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le temoin recoit un ou plusieurs defis d. Chaque defi d comportant m 



entiers d, ci-apres appeles defis elementaires. Le temoin calcule a partir de 
chaque defi d une reponse D, en .effectuant des operations du type : 

Di = r, . Q u dl . Q w di . ... Q^n dn mod Pi 
puis en appliquant la m6thode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p s a effectuer pour 
calculer chacune des reponses Dj pour chacun des p, est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 

Le procede est tei qu'il y £ autgnr df rspoj-ser D eye de deSs d quf 
d'engagements R, chaque groupe de nombres R, d, D constituant un 

triplet note {R, d, D}. 

Cas de la preuve de 1'authenticite d'une entite 

Dans une premiere variante de realisation le procede selon l'invention est 

destine a prouver 1'authenticite d'une entite appelee demonstrates- a une 

entite appelee controleur. Ladite entite demonstrateur comprend le temoin. 

Lesdites entites demonstrateur et controleur executent les etapes 

suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. Le demc&strateu:' fans me: au controleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de defi d 

Le controleur, apres avoir re?u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d'engagements R et 
transmet les defis d au demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au controleur. 
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Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis une parue de chaque 
engagement R, le controleur, disposant des m valeurs publiques G„ G 2 , ... 
" G„7calcule~a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' b G, d1 . G 2 d2 . ... G m dm . D v mod n 
cu i une relation dv type. 

R' = D v / G, dl . G 2 d2 . ... G m dm . mod n . 
Le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis. 
Deuxieme cas : le demonstrateur a transmis l'integralit£ de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis l'integralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G„ G 2 , ... 
G m , verifie que chaque engagement R satisfait a une relation du type : 

R s G l dI . G 2 a . ... G m *" . D v mod n 
ou a une relation du type, 

R = D v 7 Gj s: .Gj fi ....G R fe - t nicc r: 
Cas de la preuve de l'integrit^ d'un message 
dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le procede selon l* invention est destine a prouver a une 
entit6 appelee contrdleur l'integrite d'un message M associe a une entite 
appelee demonstrateur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes 
suivantes: 

• etape 1 : acte d'engagement R 
A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 
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• etape 2 : acte de defi d 

Le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de cbaque engagement K po ui 
calculer au moins un jeton T. Le demonstrateur transmet le jeton T au 
"cohttdleurTLe controleurrapf es~awirrecu un-jeton T, produit des defis d 
en nombre egal au nombre d'engagements R et transmet les defis d au 
demonstrateur. 

< e'fgpe s scte de reports? 13 
Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de controle 

Le demonstrateur transmet chaque reponse D au controleur Le controleur, 
disposant des m valeurs publiques G„ G 2 , ... G m , calcule a partir de chaque 
defi d et de chaque reponse D un engagement reconstruit R' satisfaisant a 
une relation du type : 

R'sG, dl . G 2 *. ... G m dm . D v modn 
ou a une relation du type : 

R» s D v / G, dI . G 2 d2 .... G m dm . mod n. 
Puis, le controleur applique \z fonction de hachagf- h zyzrr comm? 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T\ Puis, le controleur verifie que le 
jeton T' est identique au jeton T transmis. 

Signature numerique d'un message etpreuve de son authenticity 

Operation de signature 
Dans une troisieme variante de realisation susceptible d'etre prise en 
combinaison avec l'une et/ou l'autre des autres variantes de realisation, le 
precede selon lMnvention est destine a produire la signature numerique 
d'un message M par une entite appelee entite signataire. Ladite entite 
signataire comprend le temoin. 



Ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ladite entite signataire execute r operation de signature en mettant en 
oeuvre les etapes suivantes : 

• et0pe? I : acte engagement F 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 

• etape 2 : acte de defi d 

Le signataire applique une fonction de hachage h ay ant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 
d'engagements R. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

Operatic fj c-c-<nv**-*}< 
Pour Tauthenticite du message M, une entite, appelee controleur, controle 
le message signe. Ladite entite controleur disposant du message sign6 
execute une operation de controle en procedant comme ci-apres decrit. 
• cas oik le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = Gi dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 



8 



R = D v / Gj dl . G 2 d2 . ... G m dm . mod n 

Puis, le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 

d = h(M,R) 

•cas du le controleur dispose desdefis d et. des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque reponse D, 

des engagement? R' satisfaisant a. des relations du type : 
R' = G, dl .G 2 d2 ....G m dm .D v modn 

ou a des relations du type : 

R' = D v /G 1 dl .G 2 d2 ....G m dm . modn 
Puis, le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 
Dans le cas ou le contrdleur dispose des engagements R et des reponses D, 
le controleur applique la fonction de hachage et reconstruit d' 

d' = h (M, R) 

Puis, le contioieur verifie que les engagements R ; les der-s V et. les reponses 
D, satisfont a des relations du type : 

R = G, d 1 . G 2 d 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = D v / G, d>1 . G 2 d ' 2 . ... G m d m . mod n. 
Cas ou on choisit la valeur privee Q en premier et ou on deduit la 
valeur publique G de la valeur privet Q 

Dans certains, notamment afin de facihter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le precede selon 1' invention est tel que les 



composantes Qj, , , Q,, 2 , ... Qj, f des valeurs privees sont des nombres 
tires au hasard a raison d'une composante Q, j (Qj, } = Qj mod Pj) pour 
chacun desdits facteurs premiers pj. Lesdites vaieurs privees Q, peuvent 
etre calculees a partir desdites composantes Qj, , , Q u 2 ••• Qi, t P 31 " 10 
methode des restes chinois. Lesdites valeurs publiques G s , sont calculees 
en effectuant des operations du type 

G u= Qu Vmod Pj 

puis, en appliquant la methode des restef chinok pour etsblfr G, tel. que 

G s . Qj v = 1 . mod nouGjS Q, v mod n ; 
Ainsi, le nombre d'operations arimmetiques modulo p, a effectuer pour 
calculer chacun des G u pour chacun des pj est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

Avantageusement dans ce cas, le procede selon l'invention est tel que 
l'exposant public de verification v est un nombre premier. On demontre 
que la securite est equivalente a la connaissance de la valeur privee Qj . 
Cas ou on choisit la valeur publique G en premier et ou on deduit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v - V 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique G, est le carre g, 2 d'un nombre de base g, inferieur 
aux f facteurs premiers p„ p 2 , ... p f . Le nombre de base g, est tel que les 
deux equations : 

x 2 = g ; mod n et x 2 = - g; mod n 

n'ont pas de solution en x dans l'anneau des entiers modulo n et tel que 
F equation : 

x v = g 2 mod n 
a des solutions en x dans l'anneau des entiers modulo n. 

Systeme 
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La presente invention concerne egalement un systeme destine a prouver a 
un serveur controleur, 

- l'authenticite d'une entite et/ou 

- l'integrite d~'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G„ G 2 , ... 

G m (m etani superieur ou egai a i). 

- un module public n constitue par le produit de f facteurs premiers p w 
p 2 , . . . p f (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs etant lies par des relations 

du type : 

G s . Q t v = 1 . mod nouG,H Q^mod n . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les f facteurs premiers Pi et/ou des parametres des restes chinois 
des facteurs premiers et/ou du module public r. cuou c.e.s m valeurs privees 
Q, et/ou des f.m composantes Q u (Q u = Q, mod Pj ) des valeurs privees Q, 
et de l'exposant public v. Le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens- de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
l'anneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

RjSr^modPi 

ou Tj est un alea associe au nombre premier p t tel que 0 < r s < Pi , chaque r t 



11 



appartenant a une collection d'aleas {r x , r 2 , ... r f } produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 

ciimois. 

Ainsi, le nombre d'operations arithmetiques modulo p 4 a effectuer pour 
calculer chacun des engagements R| pour chacun des p, est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers d| ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

A = r, . Q M dl . Q ia d2 . ... dm mod Pl 
puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p { a effectuer pour 
calculer chacune des reponses pour chacun des p { est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Ledi: dispositif temoin comporte aussi des mcyens c> transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d'engagements R- Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de l'authenticite d'une entite 
Dans une premiere variante de realisation le systeme selon Tinvention est 
destine a prouver Tauthenticite d'xme entite appelee demonstrateur a une 
entite appelee controleur. 

Ledit systeme est tel qu'il comporte un dispositif demonstrateur associe a 
l'entite demonstrateur. Ledit dispositif demonstrateur est interconnects au 
dispositif temoin par des moyens d* interconnexion. H peut se presenter 
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notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte banc aire a 
microprocesseur. 

Ledit systeme comporte aussi un dispositif contrdleur associe a l'entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 

eiectromagnetiquement, optiquement ou de marker* gcoustique, 
notamment via un reseau de communication informatique, au dispositif 
demonstrateur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus; Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. Le dispositif 
demonstrateur comporte. aussi des moyens de transmission. c> acres cesignf 
les moyens de transmission du dispositif demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif controleur, via les 
moyens de connexion. 

• etape 2 : acte de defi d 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R Le dispositif 
controleur comporte aussi des moyens de transmission, ci-apres designes 
les moyens de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 
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• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif demonstrates, via les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin calculenTles reponses~D a partir des defis d~en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demcnsfrsfeur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrdleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G„ G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque repcr.sf T. ur. engagement reconstruiv 
R' satisfaisant a une relation du type : 

R' = G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R' b D v / G x dl . G 2 . .. G m *" . mod n 
Les moyens de . comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R recu. 
cas ou le demonstrateur a transmis l'integralite de chaque engagement 
R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 



14 



de comparaison du dispositif controleur, disposant des m valeurs publiques 
G„ G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

RsG, d, .G 2 d2 . ... G m ta . D v mod n 

ou a une relation du type, 

RsD v /G, dl .G 2 d2 ....G m dm .modn. 
Cas de la preuve de l'integrit£ d'un message 

Dans une deuxieme variante de realisaticr. rascentiblf d'etre combiner 
avec la premiere, le systeme selon l'invention est destine a prouver a une 
entite appelee controleur l'integrite d'un message M associe a une entite 
appelee demonstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a l'entite demonstrateur. Ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d' interconnexion. II peut se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
systeme comporte aussi un dispositif controleur associe a l'entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distanx. Led:: dispcsifc: ccntroieur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
demonstrateur. 

Ledit systeme execute les etapes suivantes : 

• etape 1 : acte d' engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
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transmettre tout- ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'.interconnexion. 

• etape 2 : acte de defi d 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designesles moyens de^cm^u^spositif ^enionstrateur, appliquant une 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
contrdleur. Le dispositif controleur comporte aussi des moyens de 
productions de defis pour produire, apres avoir recu le jeton T, des defis d 
en nombre egal au nombre d'engagements R, Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du dispositif controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d prcvenanr du dispositif demonstrateur, vis ies moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin calculent les reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi des 
moyens de calcul, ci-apres designes les moyens de calcul du dispositif 
controleur, disposant des mvaleurs publiques G„ G 2 , ... G m , pour d'une 
part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 




. R' = G, dl .G 2 d2 ....G in dm .D v modn 

ou a une relation du type : 

R' =D V / G t *' : . G 2 c:: . . .. G m drr . mod k 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M-et tout ou partie-de-ehaque-engagement 
reconstruit R', un jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparison, ci- 
apres designer les moyens de compsrsisor du dispositif controleur. pour 
comparer le jeton T' au jeton T recu. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee a 
l'une et/ou a l'autre des deux autres, le systeme selon l'invention est 
destine a produire la signature numerique d'un message M, ci apres 
designe le message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

• les reponses D . 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
l'entite signataire. Ledit dispositif signataire est interconnecte au dispositif 
temoin par des moyens d' interconnexion et peut se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
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ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes ies moyens de transmission du dispositif temom, poui oransmetu e 
tout ou partie de chaque engagement R au dispositif signataire, via les 
mbyen^'interconnexiooa: 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
] e c moven? of csloul du dispositif signataire, appliqusnt une fonction 6 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R. 

• 6tape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, re<?oivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion. 
Les moyens de calcul des reponses D du dispositif t6moin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 
dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoir, pour transmettrf 
les reponses D au dispositif signataire, via les moyens d' interconnexion. 

Operation de controle 
Pour prouver Tauthenticite du message M, par une entite appelee 
controieur, controle le message signe. 

Le systeme comporte un dispositif controleur associe a T entite controleur. 
Ledit dispositif controleur se presente notamment sous la forme d'un 
terminal ou d'un serveur distant. Ledit dispositif controleur comporte des 
moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
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demonstrateur. . 

Ledit dispositif signataire associe a l'entite signataire comporte des moyens 

de transmission, ci-apres designes ies moyens de transirassion du dispositif 
signataire, pour transmettre au dispositif contrdleur, le message signe, via 
les _ moyens-de-connexion— AinsiH e ^ s P os iti^ e0Btt ®l e ^~^ s P ose "^ !un 
message signe comprenant: 

- le message M, 

- Ies defis d et/ou Jes engagements R 

- Ies reponse D. 

Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrdleur. 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 

dispositif controleur verifient que Ies engagements P. Ies defis d et ?es 
reponses D satisfont a des relations du type 

R = G, dl .G 2 d2 ....G m dm .D v modn 

ou a des relations du type : 

R = D v /G 1 dl .G 2 d2 ....G m dm . modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif contrdleur dispose des defis d et des reponses 
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D, les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque repqnse D, des engagements R' satisfaisant a 
des relations du type : 

R' = G, di . G 2 « ... G m dm . D v mod n 
ou a des relations du type : 

R' = D v / Gi dl . G 2 d2 . ... G m dm . mod n 
Puis, les moyens de calcul et de comparaison du dispositif controleur verifie 
que ie message M et les defis d satisfonf s \z fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (M, R) 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G, d>1 . G 2 d 2 . . . . G m d m . D v mod n 
ou a des relations du type ; 

R = D v / Gi d l . G 2 d ' 2 . ... G m d m . mod n 
Cas ou on choisit la valeur privee Q en premier et ou on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privies Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le systeme selon 1' invention est tel que les 
composantes Q,, , , Qi, 2 , ... Qi, f des valeurs privees Q,, sont des nombres 
tires au hasard a raison d'une composante Qi j (Q^ j s Qj mod Pj) pour 
chacun desdits facteurs premiers pj. Lesdites valeurs privees Q, peuvent 




etre calculees a partir desdites composantes , , Qj, 2 ... Qi, f par la 
methode des restes chinois. Lesdites valeurs publiques G w sont calculus 
en effectuant des operations du type 

G u s Q lj v modp j 

puis, en appliquant la me l^oiie^esTestes-cbinois^ouretablif'Gt^el^ue^-- - 

G|.Qi V sl .modnouGi = Qi V modn; 
Ainsi, le nombre d'operations arithmetiques modulo P; a effectuer pour 
calculer chacim des G iti pour chscun des p. est reduft par rapport a ce qu'i! 
serait si les operations etaient effectuees modulo n. 

Avantageusement dans ce cas, le systeme selon 1' invention est tel que 
l'exposant public de verification v est un nombre premier. On demontre 
que la securite est equivalente a la connaissance de la valeur privee Q, . 
Cas oil on choisit la valeur publique G en premier et ou on deduit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1. Ladite valeur publique 
Gj est le carre & 2 d'un nombre de base g, inferieur aux f facteurs premiers 

Pn p 2 , ... Pf • Le. nombre de base g, est te; q-J e le.? c«:-?: equations : 

x 2 = & mod n et x 2 = - & mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n et tel que 
l'equation : 

x v = g 2 mod n 

a des solutions en x dans l'anneau des entiers modulo n . 

Dispositif terminal 
Methode des restes chinois appliquee a la famille GQ 

L' invention concerne aussi un dispositif terminal associe a une entite. Le 
dispositif terminal se presente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire a microprocesseur. Le 



• # 

21 



dispositif terminal est destine a prouver a dispositif controleur : 

- l'authenticite d'une entite et/ou 

- rintegrite d'un message M associe a cetie entiie. 

Cette preuve est 6tablie an moyen de tout ou partie des parametres 
suivahts _ 6u derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G„ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- ur: module public n constitue par le produit de f fsctevrs premiers p J; 
p 2 , ... p f (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gj . Q, v = 1 . mod n ou G; = Q, v mod n . 

Ledit dispositif tenninal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers p s et/ou les parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou les m 
valeurs privees Q ; et/ou les f.m composantes Q u j (Q u j s Q, mod pj) des 
valeurs privees Qjet de 1' exposant public v. Le dispositif temoin comporte 
2-ussi ; 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin. 

Les moyens de calcul permettent de calculer des engagements R dans 
l'anneau des entiers modulo n. Chaque engagement est calcule en 
effecmant des operations du type 

Ri = r, v modpi 

ou i-jest un alea associe au nombre premier p, tel que 0 < r, < ^ , chaque rj 
appartenant a une collection d'aleas {r, , r 2 , ... r f } produits par les 
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moyens de production d'aleas, puis en appliquant la methode des restes 
chinois. 

Ainsi, le nombre d' operations arithmetiques moduio p s a effectuer poui 
calculer chacun des engagements R, pour chacun des p, est reduit par 
rapport a ce qu'il serait si les operations etaient^ffecnTees mtfdutdTi: 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
oer defis d du dispositif temoin. pour recevoi; un ou plusieurs defis d 
chaque defi d comportant m entiers d, ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des op6rations du type : 

D, = r, . Q w dl . Q.,2 *. Q Um dm mod p, 
puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo pj a effectuer pour 
calculer chacune des reponses D, pour chacun des p, est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi des moyens de transmission pour 
vransmettre un ou plusieurs engagements R et une ou phisieurs reponse..? D 
II y a autant de reponses D que de defis d que d' engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de F authenticity d'une entity 
Dans une premiere variante de realisation, le dispositif terminal selon 
l'invention est destine a prouver l'authenticite d'une entite appelee 
demonstrates* a une entite appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif demonstrateur 
associe a l'entite demonstrateur. Ledit dispositif d6monstrateur est 
interconnecte au dispositif temoin par des moyens d' interconnexion. D 
peut se presenter notamment sous la forme de microcircuits logiques dans 
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un objet nomade-par exemple sous la forme d'un microprocesseur dans une 
carte bancaire a microprocesseur.. 

Ledit dispositif demonstrateur compone des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoiistique, notamment via un reseau de communication 
infoimatique, a un dispositif controleur associe a l'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant, 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout esc parue zr cheque engagement. R au 
dispositif controleur, via les moyens de connexion. 

• etape 2 et 3 : acte de defi d, acte de rlponse D 

Les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 
dessus. 

• etape 4 : acte de controle 
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Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif controleur qui procede au controle. 

Cas de ia preuve de Pintegrite d'un message 
Dans une deuxieme variante de realisation, susceptible d'etre combinee 
aux autreFvariantes de realisation, le dispositif terminal selon 1' invention 
est destine a prouver a une entite appelee controleur l'integrite d'un 
message M associe a une entite appelee demonstrateur. Ledit dispositif 
terminal est tel qu'il comporte ue dispositif demonstrateur associe s J'entitf 
demonstrateur. Ledit dispositif demonstrateur est interconnects au 
dispositif temoin par des moyens d'interconnexion. n peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif demonstrateur comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, a un dispositif controleur associe a 1' entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. 

Ledit dispositif terminal perroet d'executei les eiapes su:var..:e£ 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifle 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

• etape 2 et 3 : acte de defi d, acte de reponse 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
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fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrates comporte aussi aes moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton 1 , viales moyens de connexion, airdispositif'au 
controleur. 

Ledit dispositif controleur produit, apres avoir re9u le jeton T, des defis d 

en nombre egal su nombre d 5 engagements F 

Les moyens de reception des defis d du dispositif temoin, re^oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 

dessus. 

• etape 4 : acte de controle 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif controleur qui procede au controle. 

Signature numSrique d'un message et preuve de son authenticate 

Opersrion ce sigafctu: : 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres, le dispositif terminal selon l'invention est destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a l'entite signataire. Ledit dispositif signataire est interconnecte au 



m • 

26 



dispositif temoin par des moyens d' interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le~ connecter electriquement, 61ectromagn6tiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, a un dispositif controleur associe a l'entite 
controleur. Ledit dispositif controleur se preserve notamment sous Is forme 
d'un terminal ou d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• 6tape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des mover,?: dr caicu. : ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des deiis d en nombre egal au nombre d'engagements R. 

• etape 3. : acte de reponse D 

Les moyens de reception des defis d recoivent les defis d provenant du 
dispositif signataire, via les moyens d' interconnexion. Les moyens de 
calcul des reponses D du dispositif temoin calculent les reponses D a partir 
des defis d en appliquant le processus specifie ci-dessus. Le dispositif 
temoin comporte des moyens de transmission, ci-apres designes les moyens 
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de transmission du dispositif temoin, pour transmettre les reponses D au 
dispositif signataire, via les moyens d' interconnexion. 

Dispositif controieur 
Methode des restes chinois appliquee a toute la famille GQ 
L' invention concerne aussi un dispositif controieur. Le dispositif 
controieur peut se presenter notamment sous la forme d'un terminal ou 
d'un serveur distant associe a une entite controieur. Le dispositif 
controieur esv destine a prouver i un serveur contrcleir 

- 1'authenticite d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q 2 , ... Q m et publiques G„ G 2 , ... 
G m (m etant superiexu- ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers p„ 
p 2 , . . . p f (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 

gu type : 

Gj . Qi v s 1 . mod n ou Gj = Q^mod n ; 
ou Qi designe une valeur privee, inconnue du dispositif controieur, 
associee a la valeur publique G 8 . 

Cas de la preuve de 1> authenticity d'une entite 
Dans une premiere variante de realisation, susceptible d'etre combinee 
avec les autres, le dispositif controieur selon 1* invention est destine a 
prouver Tauthenticite d'une entite appelee demonstrates a une entite 
appelee controieur. 

Ledit dispositif controieur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
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maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a Fentite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etaj^l^t~2T^t^ 

Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 

movent df connexion 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir repu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, chaque defi d 
comportant m entiers d| , ci-apres appeles defis elementaires. 
Le dispositif controleur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion. 

• etapes 3 et 4 : acte de reponse, acte de controle 
Le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via ies mcyens cie connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont refus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 15 G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
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R' satisfaisant a une relation du type : 

R' = G, dl . G 2 . d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R' = D v / G, dl . G 2 d2 .... G m dm . mod n . 
Leslnoyens de comparMsbn^uliispositif "cbWSleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R recu. 
Deuxieme cas : le demonstrateur a transmis PintegralitS de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont recus 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G„ G 2 , ... G ro , verifient que chaque engagement R satisfait a une relation 
du type : 

R=G, dl .G 2 d2 . ... G m dm . D v mod n 

ou a une relation du type, 

RsD v /G l il .G 2 d2 . ... G m *" . mod n . 
Cas de la preuve de l'integrite d'un message 

Dans une deuxieme variante de realisation, susceptible d'etre combinee 

avec ies autres, ie dispositif contrcleu: stlzz I ir.v?"';'"r. est destine i 
prouver l'integrite d'un message M associe a une entitd appelee 
demonstrateur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter eiectriquement, 61ectromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de cornmunication 
informatique, a un dispositif demonstrateur associe a l'entite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 
• etapes 1 et 2 : acte d'engagement R, acte de defi 

Ledit dispositif contrdleur comporte aussi des moyens de reception de 




jetons T provenant du demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir repu ie jeton 1, dens d en nombie egai au 
nombre d' engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les~d6fisl§l"effienta^^ des 
moyens de transmission, ci-apres designes les moyens de transmission du 
dispositif controleur, pour transmettre les defis d au demonstrates, via les 
moyens de connexion. 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 
Le dispositif controleur comporte des moyens de reception des reponses D 
provenant du dispositif demonstrates, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G„ G 2 , ... G m , pour d'une part, calculer a partir de 
chaque _defi d et de chaque reponse D un engagement reconstruit R' 
satisfaisant a une relation du type : 

R' = G x dl . G 2 * . . . G m dm . D v mod n 
ou a une relation du type : 

W = D v 7 G, cl < G 2 *\ . t< G r - nee r 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re?u. 

Signature numerique d'un message et preuve de son authenticity 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif controleur selon Finvention est 
destine a prouver 1' authenticity du message M en controlant, par une entite 
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appelee controleur, le message signe. 

Le message signe, emis par un _ dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D . 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter elecLriquemeni. electxomagnetiquement.. optiquemerr ov df 
maniere acoustique, notamment via un reseau de communication 
informatique, a im dispositif signataire associe a T entite signataire. Ledit 
dispositif controleur re9oit le message signe du dispositif signataire, via les 
moyens de connexion. 
Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le controleur dispose des engagements R, des d6fis d, des 

repcnses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G, dl .G 2 d2 ....G m dm .D v modn 
ou a des relations du type : 

R = D v /G 1 dl .G 2 d2 ...-G m dm . modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 
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d = h (M, R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
D, les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = G, dl . G 2 °. ... G m dm . D v mod n 
ou a des relations du type : 

R' = D v /G 1 dl .G 2 d2 ....G m dm . modn 
Puis, les moyens de calcul et de comparaison du dispositif contrdleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas oik le controleur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (M, R) 

Puis, les moyens de calcul et de comparaison du dispositif contrdleur 
verifient que ies engagements R, les defis o*- ev reponses D. satisfont z 
des relations du type : 

RsG, d 1 . G 2 d 2 . ... G m dm . D v mod n 
ou a des relations du type : . 

R = D v / G, dM . G 2 d ' 2 . ... G m dm . mod n 
Description detaillee de la variante de realisation dans le cas oil 
Pexposant public v = 2 k 
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Description - 

Rappelons l'objectif de la technqlogie GQ : l'authentification dynamique 
d'entites et de messages associes, ainsi que ia signamre numerique de 
messages. 

La version classique d e-lFtechnorogie GQ fait appel a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, comme le demontrent 

les attaques diter <• multiplicative? » centre diverse? norm.es de signature 
numerique mettant en ceuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de l'invention porte 
plus precisement sur r^li gfl tinn des ieux de cles GQ2 dans le cadre de 
l'authentification dynamique et de la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, ameliorer les performances par rapport a la technologie RSA ; d'autre 
part', eviter les problemes inherents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour l'entite 
qui signe ou qui s'authentifie que pour celle qui ccntrcle Grace I ur 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g, Les nombres de base etant fixes de gl a g m avec m > 1 , 
une cle publique de verification <v, n) est choisie de la maniere suivante. 
L'exposant public de verification v est 2 k ou k est un petit nombre entier 
plus grand que 1 (k > 2). Le module public n est le produit d'au moins deux 
facteurs premiers plus grands que les nombres de base, disons / facteurs 
premiers if> 2) notes par p p dc Pl ...p r Les/facteurs premiers sont choisis 
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de facon a ce que le module public n ait les propriety suivantes par rapport 
a chacun des m nombres de base de g, a g m . 

- D'une part, les equations (1) et (2) n'ont pas de solution en x 



l'anneau des entiers modulo n, c'est-a-dire que g,. et -g, sont deux residus 
non quadratiques (mod n). 

x 2 = gi (mod n) (1) 
x 2 = -gi (mod n) (2) 

D 'autre pan, I 'equation (3) a des solutions en x dans Pa.nne.su des entiers 
modulo n. 

x 2 * = ft 2 (mod it) (3) 
La cle publique de verification <v, n) etant fixee selon les nombres de base 
de g x a g u avec m ^ 1, chaque nombre de base & determine un couple de 
valeurs GQ2 comprenant une valeur publique G, et une valeur privee Q t \ 
soit m couples notes de G x Q x a G m Q m . La valeur publique G, est le carre du 
nombre de base g, : soit G, = g, 2 . La valeur privee Q, est une des solutions a 
l'equation (3) ou bien l'inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en/facteurs premiers, l'anneau 
des entiers modulo n se decompose en / corps de Galois, de CG(p,) a 
CG{fy. Voici ies projections des equations (I). (2) et (3} iians CG(cy 
jc 2 sg,. (mod p y ) (l a) 

a -gi (mod ) (2-a) 
jc 2 * =g? (mod />,) (3.a) 
Chaque valeur privee Q, peut se representer de maniere unique par / 
composantes priv6es, une par facteur premier : Q u = Q, (mod;?,). Chaque 
composante privee Q Q est une solution a l'equation (3.a) ou bien l'inverse 
(mod^ d'une telle solution. Apres que toutes les solutions possibles a 
chaque equation (3.a) aient ete calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Q, a 
partir de /composantes de Q iX a Q,y. Q t = Restes Chinois (£,„ Q iV ... Q,) 
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de maniere a obtenir toutes les solutions possibles a l'equation (3). 
Voici la technique des restes cbinpis : soient deux nombres entiers positifs 
premiers entre eux a et b tels que 0 < a < o, et deux composantes X a de 0 a 
a-l et X b de 0 a b-l ; il s'agit de determiner X= Restes Chinois (X a , X b \ 
c'est-a-dire, le nombre unique X de 0 a a.b-l tel que ^s^(moda) et 
X b =X(modb). Voici le parametre des restes chinois : a m {b (mod a)}" 1 
(mod a). Voici l'operation des restes chinois : e = X b (mod a) ; 8 = X-e ; si 
6 est negatif, remplacer 5 par 5+c : y = o: . * fmod *) ; T= 
Lorsque les facteufs premiers sont ranges dans l'ordre croissant, du plus 
petit au plus grand p p les parametres des restes chinois peuvent etre les 
suivants (il y en a f-1, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a = {p 2 (mod />,)}"' (mod;?,). Le 
second parametre des restes chinois est (5 = {p v p 2 (modp 3 )}-' (mod/> 3 ). Le i 
ieme parametre des restes chinois est X= {p r p r ...p^ (mod^)} - ' (mod/7,). 
Et ainsi de suite. Ensuite, en/-l operations des restes chinois, on etablit un 
premier resultat (mod p 2 fois Pl ) avec le premier parametre, puis, un second 
resultat (mod p r p 2 fois ^ avec le second parametre, et ainsi de suite, 
jusqu'aun resultat (modj?,. ...p,_ x foxsp), c'est-a-dire, (mod «). 
li y a piusieurs representations possibles de is r -r- z.r.vi* GQ2 ; ce qui traduit 
le polymorptaisme de la cle privee GQ2. Les diverses representations 
s'averent equivalentes : elles se ramenent toutes a la connaissance de la 
factorisation du module n qui est la veritable cle privee GQ2. Sija 
r ^6§entatiga affi ** e hie " l ft goinportement de l'entite qui signe ou qui 
s»aiithentifie , glle n'affecte pas le compo rtem e nt de l 'entite qui controle. 
Voici les trois principales representations possibles de la cle privee GQ2. 
i u, renresentatinn glassjgue e n technolQgiS GO consiste a stocker m 
valeurs privees Q, et la cle publique de verification <v, n) ; en technologie 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
repj^gntation optimal* en term ~ de charges de travail consiste a stocker 
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l'exposant public v, les/facteurs premiers/?,, m./composantes privees Q Q et 
/-l parametres des restes chinois.. 3) Ta representation oprimale en termes 
Ae> t a illP de cle nrivee consiste a stocker Vexposani public v, ies m nombres 
de base g, et les /facteurs premiers p p puis, a commencer chaque utilisation 
eiTetabirsanroVbT^ se ramener * 

la premiere representation, ou bien m.f composantes privees Q Q et f-l 
parametres des restes chinois pour se ramener a la seconde. 
Les entiles qui signent ou s'authentifient peuvenf toutes utiliser les memes 
nombres de base ; sauf contre indication, les m nombres de base de gi a g m 
peuvent alors avantageusement 6tre les m premiers nombres premiers. 
Parce que la securite du mecanisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissance d'une decomposition du 
module, la technologie GQ2 ne permet pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui 
s'authentifie ou signe dispose de son propre module GQ2. Toutefois, on 
peut specifier des modules GQ2 a quatre facteurs premiers dont deux sont 
connus d'une entite et les deux autres d'une autre. 

Voici un premier jeu de cles GQ2 avec k = 6, soit v = 64, m = 3, soit trois 

n c- ' r c{-' : * v r module £ trois 

nombres ae base : g l = J, g 2 - - ~i t - ~ • ~. v - ; . - ~ 

facteurs premiers : deux congrus a 3 (mod 4) et un a 5 (mod 8). Notons que 

g = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 

p x = 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

p\ = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

/ = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

» - J», - A Pi - FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

Q x , = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

O = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 

^2,1 
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t = 6F B3B9e05A03D7CADA9A3425571EF5ECC54D7A7B6F 
Q n = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
Q = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
2^ = FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
5 fiu = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 

0^ = 0AE8551E1 16A3AC089566DFDB3AE003CF174FC4E4877 
g = 01682D490041913A4EA5B80D16B685E4A6DD88070501 
^ = D7E1CAF28192CED6549FF457708D50A748I57?DD5F?C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 

10 C74D9743435AB4D7CF0FF6557 

Q 2 = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 

82288273 ADE67353A5BC316C093 

0, = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 
15 A D9 D C50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197 
697238537FE7A0195C5E8373EB74D 

Void un second jeu de cles GQ2, avec k = 9, soit v = 5 12, m = 2, soit deux 
nombres de base : g x = 2 et g 2 = 3, et/= 3, soit un module a trois facteurs 
premiers congras a 3 (rncc 4-. 
20 />, = 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 

A = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
p\ = 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 
n=P> -P 2 . J p 3 = FFFF5401ECD9E537F167A80C0A9111986F7A8EBA4D 
6698AD68FF67ODE5D9D77DFF00716DC7539F7CBBCF969E73A0C49 

761B276A8E6B6977A21D51669D039F1D7 
ft, = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
g', = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
a' = 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 
0* = 045ECB881387582E7C556887784D2671CA1 18E22FCF2 

^2,2 
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Q = B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
Q 2i = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
Q = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F&C3C5 1E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 

EDDA092D0CF108D0AB708405DA46 

Q 2 = 230DOB9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 

F 1 1 F 19874 DE7DC5D I. DF2A9252D 
Authentication dynamique 

Le m6canisme d'authentification dynamique est destine a prouver a une 
entite appelee controleur l'authenticite d'une autre entite appelee 
demonstrateur ainsi que l'authenticite d'un eventuel message associe M, 
de sorte que le contrdleur s'assure qu'il s'agit bien du demonstrateur et 
eventuellement que lui et le demonstrateur parlent bien du meme message 
M. Le message associe M est optionnel, ce qui signifie qu'U peut etre vide. 
Le mecanisme d'authentification dynamique est une sequence de quatre 
actes : un acte ^engagement, un acte de defi, un acte de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le controleur joue- les actes de den et de controle 

Au sein du demonstrateur, on peut isoler un temoin, de maniere a isoler 
les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon l'une des trois representations evoquees ci-dessus : • les/ 
facteurs premiers et les m nombres de base, • les m./composantes privees, 
les/facteurs premiers et/-l parametres des restes chinois, • les m valeurs 
privees et le module n. 

Le t6moin peut correspond^ a une realisation particuliere, par exemple, 
. une carte a puce reliee a un PC formant ensemble le demonstrateur, ou 
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encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particulierement proteges au sein d'une carte a 
puce. Le temoin ainsi isoie est sembiabie au temoin. defmi ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de defis d. 
Chaque ensemble {R, d, D) constitue un triplet GQ2. 
Outre qu'il comprend le temoin, le demonstrates dispose egalement, le cas 
echeant, d'une fonction de hachage e.i d'un message M. 
Le controleur dispose du module n et des parametres k et m ; le cas echeant, 
il dispose egalement de la m€me fonction de hachage et d'un message M\ 
Le controleur est apte a reconstituer un engagement R ' a partir de n'importe 
quel defi d et de n'importe quelle reponse D. Les parametres k et m 
renseignent le controleur. Faute d'indication contraire, les m nombres de 
base de g x a g m sont les m premiers nombres premiers. Chaque defi d doit 
comporter m defis elementaires notes de d x a d m : un par nombre de base. 
Chaque defi elementaire de d, a d m doit prendre une valeur de 0 a 2*"'-l (les 
valeurs de v/2 a v-1 ne sont pas utiUsees). Typiquement, chaque defi est 
code par m fois k-l bits (et non pas m fois k bits). Par exemple, avec k = 6 
et m = 3 et les nombres de base ? $ 5 et ' : r.hscu, de^l eomporte 15 bits 
transmis sur deux octets ; avec k = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi eomporte 16 bits transmis sur deux octets. Lorsque les (Ar-l).m 
defis possibles sont egalement probables, la valeur {k-V).m determine la 
securite apportee par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connait pas la factorisation du module n a exactement une chance de 
succes sur 2^. Lorsque (k-\).m vaut de 15 a 20, un triplet suffit a assurer 
raisonnablement l'authentification dynamique. Pour atteindre n'importe 
quel niveau de securite, on peut produire des triplets en parallele ; on peut 
egalement en produire en sequence, e'est-a-dire, repeter l'execution du 
mecanisme. 
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1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs privees de 0, a Q m et du module n, 
il tire au hasard et en prive un ou piusieurs aleas r (0 < r < nj ; puis, pax k 
elevations successives au carre (mod n\ il transforme chaque alea r en un 
engagement R. 

R = r v (mod /?) 

Voici un exemple avec le premier jeu de cles avec k=6. 

; . = B8AD426C1AC0165E94B8MAC2437CIB1797EF56?CF/53A4AF8 

43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 
919967C3E2FB4B4566088E 

J? = FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 
D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C21210C6B04 

49CC4292E5DD2BDB00828AF1 8 

Lorsque le temoin dispose des / facteurs premiers de Px a p, et des m.f 
composantes privees Q„ il tire au hasard et en priv6 une ou piusieurs 
collections de / aleas : chaque collection comporte un alea r, par facteur 
premier/?, (0 < r, < p) ; puis, par k elevations successives au carre (mod p), 
il transforme chaque alea r, en une composante d'engagement R r 

R, = t.y (mod pf; 

Voici un exemple avec le second jeu de cles avec k = 9. 

r, = B0418EABEBADF0553A28903F74472CD49EE8C82D86 

il, = 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 

r 2 '= 75A8DA8FE0E60BD55D28A218E3 1347732339F1D667 

R 2 = 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 

r 3 = OD74D2BDA5302CF8BE2F6D406249D148C6960A7D27 

^ = 06E14C8FC4DD312BA3B475F1F40CF01ACE2A88D5BB3C 

Pour chaque collection de/ composantes d'engagement, le temoin etablit un 

engagement selon la technique des restes chinois. II y a autant 

d' engagements que de collections d'aleas. 
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R = Restes Chinois(/2 19 R 2 , . . . R) 
R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7 

D3FC8395CFA1 AD7FC0F9DACI 69 A4F6F 1 C46FB4C3458D 1E37C9 
9123B56446F6C928736B17B4BA4A529 

~Dras"les~ deux cas, fe -d^fronstratem-transmet-att-eontr61eur tout oupartie de 
chaque engagement R, ou bien, un code de hachage H obtenu en hachant 
chaque engagement R et un message M . 

T) L'scte d<? def! consiste s tirer au hasard un ou plusieurs defis d 
composes chacun de m defis elementaires <*, d 2 ... <*„ ; chaque defi 
elementaire prend l'une des valeurs de 0 a v/2-1 . 

= d 2 ... < 

Voici un exemple pour le premier jeu de cles avec k = 6 et m = 3. 

rf, = 101 10 = 22 ='16' ;</ 2 =00111 = 7 ; tf 3 = 00010 = 2, 
' J = 0 I I d x I U 2 I I d, = 0101 1000 11 100010 = 58 E2 
Voici un exemple pour le second jeu de cles avec k = 9 et m = 2. 

</ = rf, | | rf 2 = 58 E2 = soit en decimal, 88 et 226 
Le controleur transmet au demonstrateur chaque defi d. 
3) L'acte de reponse comporte les operations suivantes. 
Lorsque le teraom dispose des m veif-urs pr>f ~ de C I C r et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de Facte 
d' engagement et les valeurs privees selon les defis elementaires. 

X = Q^.Qt 2 ...Qt m (modn) 
D = r.X (modw) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480 

A2C6A290273479FEC9171990A17 

Lorsque le temoin dispose des / facteurs premiers de p l a p, et des m.f 
composantes privees il calcule une ou plusieurs collections de / 
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composantes de reponse en utilisant chaque collection d'aleas de l'acte 
d' engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premiei. 

X^QtyQiy-Qhi (mod pi) 

— 3r=rirXj-(mod-p r ) — — 



Voici un exemple pour le second jeu de cles. 
D=r } . Q x ? . (mod,?,) 

02660ADF3C73B6DC15E196152322DDE8EB5B35775E38 
A = ^-e i / , vfi w "(mod J p 2 ) = 

04C15028E5FD1175724376C11BE77052205F7C62AE3B 
D 3 = r 3 .Q x ?.Q 2 ? (mod p 3 ) = 

0903D20D0C306C8EDA9D8FB5B3BEB55E061AB39CCF52 
Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

D = Restes Chinois(£>„ D v ... D) 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 
4CBB55BC44DEC437208CF530F8402BD9C5 1 1F5FB3B3 A3O9257A00 

1 95 A 7305C6FF3323F72DC 1 AE 

Dans les deux cas, le demonstrates transmet chaque reponse D au 
controleur. 

4) L'acte de contr61e consiste a controler que chaque triplet {R, d, D} 
verifie une equation du type suivant pour une valeur non nulle, 

m k _ m . 

R f]G?> =D 2k (mod n) oubien R = D 2 Yl G ^ (mod n) 
ou bien, a retablir chaque engagement : aucun ne doit etre nul. 

R'=D 2k tf\G? 1 (mod n) oubien R'=D 2 (mod n) 

,=i 1=1 
Eventuellement, le controleur calcule ensuite un code de hachage H' en 
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hachant chaque engagement retabli R ' et un message M\ L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a recu a 
l'issue de l'acte d' engagement, c'est-a-diie, tout ou partis de chaque 
engagement /?, ou bien, le code de hachage H. 

Par exemple, une sequence d'operations elementaires transforme la reponse 
D en un engagement R '. La sequence comprend k carres (mod n) separes 
par k-\ divisions ou multiplications (mod n) par des nombres de base. Pour 
h z'ieme division ou multiplication, qui s'effectue entre. le i ieme carre et le 
z+1 ieme carre, le i ieme bit du defi elementaire d x indique s'il faut utiiiser 
g le i ieme bit du defi elementaire d 2 indique s'il faut utiiiser g 2> ... 
jusqu'au i ieme bit du defi elementaire d m qui indique s'il faut utiiiser g m . 
Voici un exemple pour le premier jeu de cles. 

D 2 (mod n) = FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F3 
2B93948715491F0EB091B7606CA1E744E0688367D7BB998F7B73D5F7 

FDA95D5BD6347DC8B978CA2 17733 

3 .£> 2 (mod n) =F739B708911166DFE715800D8A9D78FC3F332FF622D 
3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF 

987041B4852890D83FC6B48D3EF6A9DF 

f . D° (mod «« - 682A7AF28OC49FE230BEE354BF6FFB3OB7519E3C8 
92DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17AF 

8826635790743EA7D9A15A33ACC7491D4A7 

3 4 . £> 8 (mod n) = BE9D828989A2C184E34BA8FE0F38481 1642B7B548F 
870699E7869F8ED85 1FC3DB3830B2400C5 1 65 1 1 A0C28AFDD2 1 0EC3 
939E69D413F0BABC6DEC441974B1A291 

3 s . 5 . D 8 (mod n) = 2B40122E225CD858B26D27B768632923F2BBE5 

DB15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D 

4AC1E89C2235C363830EBF4DB42CEA3DA98CFE00 

3'° 5 2 . D" (mod n) = BDD3B34C90ABBC870C604E27E7F2E9DB2D383 

68EA46C931C66F6C7509B118E3C162811A98169C30D4DEF768397DD 




B8F6526B6714218DEB627E11FACA4B9DB268 

3 U . 5 3 . 7 . D' 6 (mod n) = DBF A7F40D3 3 8DE4FB A73 D42DBF427BBF 1 95 

C13D02ABOFA5F8C8DDB5025E3428231 1CEF80BACPCE5DOC433444 

A2AF2B 1 53 1 8C36FE2 AE02F3C8CB2563 7C9AD7 1 2F 

3 22 . 5 6 . T . D" (mod n) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5D09A2278F8FEE1DFD94EE84D09D000EA8633B53C4A0E7F0A 

EECB70509667A3CB052029C94EDF27611FAE286A7 

3 22 C 7 f D * (mod n) = DE 40CB6B41C01E722E4F312AE7205F18CDD 

0303EA52261CB0EA9F0C7E0CD5EC53D42E5CB645B6BB1A3B00C77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

3" . 5 14 . T . D" (mod n), c'est-a-dire, 3 2C . 5 E . T . D 40 (mod n) avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

76471B25C56D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C 

2121 0C6B0449CC4292E5DD2BDB00828 AF 1 8 

On retrouve bien 1' engagement/?. L'authentification est reussie. 

Voici un exemple povir le second jeu de cles. 

D 2 (mod n) = C66E585D8F132F7067617BC6DO0BA699ABD74FB9D13E 
24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 

693F8395ACEF9206B172A8A2C2CCBB 

3 . D 2 (mod n) = 534C61 14D385C3E15355233C5B00D09C2490D1B8DSE 
D3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF20 

1D6D138F3999FC1D06A2B2647D48283 

3 2 . D* (mod n) = A9DC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C4231AC9B1EBD93D5D49422408E47 

1591 9023B 1 6BC3C6C46A92BBD326AADF 

2 . 3 3 . D 4 (mod n) = FB2D57796039DFC4AF9199CAD44B66F257A1FF 
3F2BA4C12B0A8496A0148B4DFBAFE838E0B5A7D9FB4394379D72A 

107E45C51FCDB7462D03A35002D29823A2BB5 

2 2 . 3 6 . D % (mod n) = 4C210F96FF6C77541910623B1E49533206DFB9E91 
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6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF1 A0D5A721 Al 890D03 A00BD8 

2 2 . 3 7 . £>* (mod«) = E4632EC4FE4565FC4B3126BI5ADBF996149F2D 
BB42F65D91 1D3851910FE7EA53DAEA7EE7BA8FE9D081DB78B249 
B 1 B 1 88806 1 6B90D4E280F564E49B270AE023 88- ' " ' 

2 4 3' 4 . D 16 (mod «) = ED3 DDC7 1 6AE3D 1 EA74C5 AF93 5DE8 1 4BCC 
2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF 

665C 1 7C3 99607DEA54E2 1 8C2CC 1 A 890D422ED A 1 6FA 3 

2 5 3' 4 . D 16 (mod «) = DA7C64E0E8EDBE9CF823B71AB13F17E1 161487 
6BO0OFBB473F5FCBF5A5D8D26C7B2A05D03BDDD588 1 64E562D0F5 
7AE94AE0AD3F35C61C0892F4C91DC0B08ED6F 

2 ,o 3 2 8 ^ (mod n) = 6ED6AFC5A87D2DD1 1 7B0D89072C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07C3D 

722F17DA30088E6E739FBC419FD7282D16CD6542 

2" 3 28 . D n (mod n) = DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB1ECB6D432CFCC40FA95B77464003 A705 1 46A0D364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505A2D9ACA84 

2 22 3 56 D M (mod n) = A 4 66D OCB17614EFD961000BD9EABF4F021 

36F830710i882BC1764DBAACB7I5EFEF5D£30'9AE00?EB5DEDA 

8F000E44B3D4578E5CA55797FD4BD1F8E919BE787BD0 

244 3 „2 ^.28 (mod n) = 925B0EDF5047EFEC5AFABDC03A830919761 

B8FBDD2BF934E2A8 A3 1E29B976274D5 1 3007EF 1 269E463 8B4F65F 

8FDEC740778BDC178AD7AF2968689B930D5A2359 

2 44 3 ..3 ^.28 (m£)d n) = B71 1D8 9C03FDEA8D1F889134A4F809B3F2D 

8207F2AD8213D169F2E99ECEC4FE08038900F0C203B55EE4F4C803 

BFB912A04F 1 1D9DB9D07602 1 764BC4F57D47834 

2 88 3 226 D *x (mod n) = 41 A8 3F1 1 9FFE4A2F4 AC7E5597 A5D0BEB4D4C 

08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 

FCC628021B4648D7EF757A3E461EF0CFF0EA13 



& 



46 



2 m . 3 452 . D 512 (mod n), soit 4 88 . 9 126 . D 5 ' 2 (mod n) = 28AA7F12259BFBA8 
1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1AD7FCOF9D 

AC169A4F6F1C46FB4C3458DIE37C99123B56446F6C928736B17B4BA 

4A529 

On retrouve bien l'engagementflrL'authentification est reussie. 
Signature numerique 

Le mecanisme de signature numerique permet a une entite appelee 
signature de produire des messages sigxi.es et z une entite appelee 
controleur de verifier des messages signes. Le message Ad est une sequence 
binaire quelconque : il peut etre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou defis, ainsi que les reponses correspondantes. 
Le controleur dispose de la meme fonction de hachage, des parametres k et 
m et du module n. Les parametres k et m renseignent le controleur. D'une 
part, chaque defi elementaire, de d t a d m , doit prendre une valeur de 0 a 2*"'- 
1 (les valeurs de v/2 a v-1 ne sont pas utilisees). D'autre part, chaque defi d 
doit comporter m defis elementaires not6s de d x a d m , autant que de nombres 
de base. En outre, faute d' indication contraire, les m nombres de base, de g x 
a g m „ sont les m premiers nombres premiers. Aver (k-l).m valani de 15 h 20, 
on peut signer avec quatre triplets GQ2 produits en parallele ; avec (*-l).m 
valant 60 ou plus, on peut signer avec un seul triplet GQ2. Par exemple, 
avec k = 9 et m = 8, un seul triplet GQ2 suffit ; chaque defi comporte huit 
octets et les nombres de base sont 2, 3, 5, 7, 1 1, 13, 17 et 19. 
L'operation de signature est une sequence de trois actes : un acte 
d'engagement, un acte de defi et un acte de reponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R (* 0), un 
defi d compose de m defis eldmentaires notes par d x , d v ... d m et une 
reponse D(*0). 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 
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privee GQ2, c'est-a-dire, de la factorisation du module n selon l'une des 
trois representations evoquees ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d ; engagement ei de reponse, dc 
maniere a isoler les fonctions et les parametres les plus sensibles du 
demo nstrateur. PoWcMculereu^agements-et-reponsesrle temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon l'une des trois representations evoqu6es ci-dessus. Le 
iemcin ainsi isele est semblable au temoin defmi au sein du demonstrateur, 
II peut correspondre a une realisation particuliere, par exemple, • une carte 
a puce reliee a un PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'un PC, ou encore, »des 
programmes particulierement proteges au sein d'une carte a puce. 

1) L'acte d'engagement comprend les operations suivantes. 

Lorsque le temoin dispose des m valeurs privees de Q t a Q m et du module n, 
il tire au hasard et en prive un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carre (mod n), il transforme chaque alea r en un 
engagement R. 

R = r v (mod n) 

Lcrsque le temoin dispose des f facteurs premiers de r I r. et des m.f 
composantes privees Q iJt il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r, par facteur 
premier/?, (0 < r. < ; puis, par k elevations successives au carre (mod#), 
il transforme chaque alea r t en une composante d'engagement R r 

R t = r? (mod p ( ) 

Pour chaque collection de/ composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d'engagements que de collections d' aleas. 

R = Restes Chinois^,, i^, . . . R) 

2) L'acte de defi consiste a hacher tous les engagements R et le message a 
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signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieurs defis comprenant chacun m defis elementaires ; 
chaque defi elementaire prend une valeur de 0 a v/2-i ; par exemple, avec 
k = 9 et m = 8, chaque defi comporte huit octets. II y a autant de defis que 



d'engagements. 

d = d i d 2 ... d m , extraits du resultat Hash(M, R) 
3) L'acte de reponse comporte les operations suivantes. 

Lorsque ia temoin dispose des rn valeur. privees de O, I Q. et du module r, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de l'acte 
d'engagement et les valeurs privees selon les defis elementaires. 

X = Q^.Q^...Qt (mod*) 
D = r.X (mod/*) 

Lorsque le temoin dispose des / facteurs premiers de p x a p, et des m.f 
composantes privees Q tJ , il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de l'acte 
d'engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

D = Restes Chinois(D„ D v ... D) 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est-a-dire, chaque engagement R, chaque 
defi d et chaque reponse D, 

. ou bien, chaque engagement R et chaque reponse D correspondante, 

- ou bien, chaque defi d et chaque reponse D correspondante. 
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Le deroulement de l'operation de verification d6pend du contenu de 
l'appendice de signature. On distingue les trois cas. 

Ail cas oil l'appendice comprend un ou piusieurs tripiets, V operation cie 
controle comporte deux -processus independents dont la chronologie est 
indifferente. Le controleur accepte le message signe si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation appropriee du 

tvr-e cv-vani doif etre verifiee) et recevable (Is comparaiscn ooii se ft ire sur 
une valeur non nulle). 

m k J*- 

R Yi°f i -° 2k (m ° d m) ° ubien r ~° 2 n^' (m ° d w> 



Par exemple, on transforme la reponse D par une sequence d'operations 
elementaires : k carres (mod n) separes par k-l multiplications ou divisions 
(mod ri) par des nombres de base. Pour la i ieme multiplication ou division, 
qui s'effectue entre le i ieme carre et le /+1 ieme carre, le i ieme bit du defi 
elementaire d x indique s'il faut utiliser g„ le i ieme bit du d6fi elementaire d 2 
indique s'il faut utiliser g 2 , ... jusqu'au i ieme bit du defi elementaire d m qui 
indique s'il faut utiliser g m . On doit ainsi retrouver chaque engagement R 
pr^seni daiis i'appendice ae signature. 

D' autre part, le ou les triplets doivent etre lies au message M. En hachant 
tous les engagements R et le message M, on obtient un code de hachage a 
partir duquel on doit retrouver chaque defi d. 

d=d x d 2 ... d m , identiques a ceux extraits du resultat Hash(M, R) 
Au cas ou l'appendice ne comprend pas de defi, l'operation de controle 
commence par la reconstitution de un ou piusieurs defis d' en hachant tous 
les engagements R et le message M. 

d' = d\d\... d' m , extraits du resultat Hash(M, R) 
Ensuite, le controleur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est verifiee) et 
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recevable (la comparaison se fait sur une valeur non nulle). 

m k , m . 

rTTg^'sZ? 2 * (mod n) oxibien R = D 2 YJ G ?' (mod w) 

it " i=l 

Au cas ou I'appendice ne comprend pas d'engagement, l'operation de 
contrdle commence par la reconstitution de un ou pl^rews-en^geweiits R' 
selon une des deux fonnules suivantes, celle qui est appropriee. Aucun 
engagement retabli ne doit etre nul. 

R'=D 2 ' /\ \G ai (mod n) oubien R % =D 7 ' .|_ \yy imod h) 

Ensuite, le controleur doit hacher tous les engagements R ' et le message M 
de facon a reconstituer chaque defis d. 

d=d d 2 ... d m , identiques a ceux extraits du resultat Hash(M , R 0 
Le controleur accepte le message signe si et seulement si chaque defi 
reconstitue est identique au defi correspondent figurant en appendice. 



Dans la presente demande, on a montre qu'il existait des couples de valeurs 
privee Q et pubiique G permetiani de mettre er. osu^/re r-oce. f ; x * 
systeme et le dispositif selon l'invention destine a prouver l'authenticite 
d'une entite et/ou l'integrite et/ou l'authenticite d'un message. 
Dans la demande pendante deposee le meme jour que la presente demande 
par France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean-Jacques Quisquater, on a decrit un procede pour 
produire des jeux de cles GQ2, a savoir, des modules n et des couples de 
valeurs publique G et priv6e Q dans le cas ou l'exposant v est 6gal a 2 k . EUe 
est incorporee ici par reference. 
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Cette description- detaillee de l'invention dans le cas ou v = 2* est 
susceptible d'etre generalisee a d'autres valeurs de v. C'est d'ailleurs ce qui 
a ete expose, en contrepoint aux revendicaiions, dans les premieres pages de 
la description concernant le cas ou v est different de 2*. Pour autant que cela 
soit necessaire, notamment pour des raisons ressortant des regies d'ecriture 
d'une demande de brevet, et qu'il faille egalement dans cette partie de la 
description expliciter l'invention dans le cas ou v est different de 2*, les 
premieres pages de Is description seront e.fslemenf supposees avoir ete 
inserees a la suite de ce paragraphs 
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Revendications 

1. Procede destine a prouver a une entite contrdleur, 

- r authenticity d'une entite et/ou 

- Tintegrite d'unmessage M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2) ... Q m et publiques G l9 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un rnod.uk public n constitue par V- produh 6e f facteurs premiers 
p 15 p 2 , . . . p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G|.Qi V sl. mod n ou Q = Q, v mod n ; 
ledit procede met en ceuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers p, et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Q, et/ou des f.m composantes Q u (Q u l = Q t mod pj) des valeurs 
privees Q 8 et de r exposant public v ; 

- ie temoin caicuie des enga£.e.m&i)ts F itt ; ; an.neai: des entiers 
modulo n ; chaque engagement etant calcule en effectuant des operations 
du type 

Ri = ri V mod p s 

ou rj est un alea associe au nombre premier p t tel que 0 < rj < Pj , chaque rj 
appartenant a une collection d'aleas {r x , r 2 , ... r f } , puis en appliquant la 
methode des restes chinois, 

- le temoin re?oit un ou plusieurs defis d ; chaque defi d comportant 
m entiers dj ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque defi d une reponse D en effectuant des operations du type : 

D 5 ^ r, . Q u dl . Q ia ... Qi, m *" mod Pi 
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puis en appliquant la methode des restes chinois ; 

ledit procede etant tel qu'il y a autant de reponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D}. 

2. Proced6~selon la revendi^ion~r^^ine~a^fouver F authenticity 
d'une entite appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateur comprenant le temoin ; 

iesdites entiles demonstrateur et controleur exeouianv }*$ Stapes- suivanter : 

• etape 1 : acte d' engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou partie de chaque 
engagement R, 

• etape 2 : acte de defi d 

- le controleur, apres avoir regu tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d'engagements R et 
transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcuie des reponses D a parik des defis appiieuan: ! c 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 

- le demonstrateur transmet chaque reponse D au controleur, 

cas oii le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques G l9 G 2 , ..• 
G m , calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R'hG, dl .G 2 d2 ....G m dm -D v modn 
ou a une relation du type, 
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R' = D v / Gi dl . G 2 d2 . ... G m dm . mod n , 
le controleur verifie que chaque .engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
cas ou le demonstrateur a transmis lMntegralite de chaque engagement 
R 

dans le cas ou le demonstrateur a transmis l'integralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G„ G 2 , ... 
G m . verifie qu- chaque engagement R satisfa it a une relation du type : 

R = G, dl . G 2 d2 . . . . G m dm . D v mod n 
ou a une relation du type, 

R= D v / G t dI . G 2 *. ... G m *■ . mod n . 
3. Precede selon la revendication 1 destine a prouver a une entite 
appelee controleur Fintegrite d'un message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

& etape 2 t acte de deft d 

- le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T, 

- le demonstrateur transmet le jeton T au contrdleur, 

- le contrdleur, apres avoir recu un jeton T, produit des defis d en nombre 
egal au nombre d'engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de contrdle 
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- le demonstrateur transmet chaque reponse D au controleur, 

-le controleur, disposant des m valeurs publiques G tJ G 2 , ... G m? calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

~ R^^G7 dl VG^.^^G m to 7D v Wd n" 

ou a une relation du type : 

R'=D V /G, dl . G 2 d \ ... G m dm . mod n 

- puis le controleur applique h foncticr df hschspe h sysnt comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R 5 pour reconstruire le jeton T% 

- puis le controleur verifie que le jeton T' est identique au jeton T transmis. 

4. Precede selon la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 

ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ladite entite signataire execute T operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d 5 engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d'engagements R, 
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• etape 3 i acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1. 

5. Procede selon la revendication 4 destine a prouver P authenticity 
du message M en controlant, par une~enfi^~ap^ree controleur, le message 
signe; 

ladite entite controleur disposant du message signe execute une operation 

de controie en procedan: comme suit ; 

• cas ou le contrSIeur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

• • le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R= Gj dl . G 2 d2 . ... G m dm . D v mod n 

ou a des relations du type : 

RsD v /G, d, .G 2 d2 ....G m dm . modn 

• • le controleur verifie que le message M, les defis d et les 

engagements R satisfont a is fonction de hachage 

d = h (M, R) 

• cas ou le contrdleur dispose des d£fis d et des reponses D 

dans le cas ou le controleur dispose des defis d et des reponses D, 

• • le controleur reconstruit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant a des relations du type : 

R' = G, dl .G 2 d2 ....G m dm .D v modn 

ou a des relations du type : 

R' = D v /G 1 d, .G 2 d2 ....G m dm . modn 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 
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d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans ie cas oil le controleur dispose des engagements R et des reponses B, 

• • le controleur applique la fonction de hachage et reconstruit d' 

— d' = h(M,-R) 

• • le controleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

RsG, dM ,G r d ' 2 , ... G rr d ' m . D v morf n 
ou a des relations du type : 

R s D v / G t dM . G 2 d2 . G m dm . mod n 

6. Procede selon Tune quelconque des revendications 1 a 5 tel que 
les composantes Q^,, Q U2 , ••• Qi,f des valeurs privees Q u sont des nombres 
tires au hasard a raison d'une composante Qj j (Q if j = Qj mod pj) pour 
chacun desdits facteurs premiers Pj, lesdites valeurs privees Q t pouvant 
etre calculees a partir desdites composantes Q u x , 2 f par la 
methode des restes chinois, 

lesdites valeurs publiques G i9 etant calculees 

• en effectuant des operations du type 

• puis en appliquant la methode des restes chinois pour etablir G x tel que 

G t . Q| v s 1 . mod n ou G, = Q 4 V mod n ; 

7. Procede selon la revendication 6 tel que l'exposant public de 
verification v est un nombre premier, 

8. Procede selon Tune quelconque des revendications 1 a 5 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gj etant le carre g? d'un nombre de base & inferieur 
aux f facteurs premiers p„ p 2 , . p f ; le nombre de base & etant tel que : 
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les deux equations : 

x 2 = & mod n et x 2 s - g s mod n 
n'ont pas de solution en x dans Fanneau des entiers modulo n 
et tel que : 

P equation : 

x v = g, 2 mod n 

a des solutions en x dans Fanneau des entiers modulo n . 

9. Systerne destine a prouver i un serveu: contrcleu?. 

- F authenticity d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G„ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
p w p 2 , . . . p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

j. v^j — j. . i.M»,w -- ^ — ~i — ><.i -- ; 

ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur, 

le dispositif temoin comporte une zone memoire contenant les f facteurs 
premiers p t et/ou des parametres des restes cbinois des facteurs premiers 
et/ou du module public n et/ou des m valeurs privees Q, et/ou des fan 
composantes Q M (Q i? j « Qjinod des valeurs privies Qj et de 1' exposant 
public v ; 

le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
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production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
1'anneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

RjSr^modpi 

ou r x est un alea associe au nombre premier Pi tel que 0 < r x < p t , chaque r ? 

appanenani a une collection d'aleas {i x 5 l 2 $ ■ « l/ prcduia p£j iec 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque defi d comportant m entiers dj ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

E»i = *i- Qi,l C • Qi,2 ^ Qi,m C UiOC * 

puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

10. Systeme selon la revendication 9 destine a prouver r authenticity 
d'xine entite appelee demonstratexir a xine entite appelee controleur ; 
ledit systeme etant tel qu'il comporte 

-un dispositif demonstratexir associe a l'entite demonstratexir, ledit 
dispositif demonstratexir etant interconnect^ au dispositif temoin par des 



moyens <T interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a Tentite controleur ; ledit dispositif 
controleur se pr6sentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquernen; ou de rnaniere acoustique, notammen*. vis ur: reseat* ce 
communication informatique, au dispositif demonstrateur ; 
ledit sy steme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

- ie dispcsitif demonstrateur compone aussi des moyens transmission, ci- 
apres designe les moyens de transmission du dispositif demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion ; 

• etape 2 : acte de d£fi d 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, 
le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, 



• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re^oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

& eiapte 4 i acte de control? 
les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controieui, disposant des m vaieurs pubiiques -.« ^ m5 caicuierit £. 

partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R 5 satisfaisant a ime relation du type : 

R' = G l dl . G^. ... G m *" . D v mod n 
ou a une relation du type, 

R' == D v / G x dl . G 2 * ... G m *? . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit RVa tout ou partie de chaque engagement R re?us, 
cas ou le demonstrateur a transmis Pintegralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
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l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G v G 2 , ... G m , verifient que chaque engagemem R satisfaii a une relation 
du type : 

R = G, dl . G 2 * ... G m *" . D v mod n 

ou a une relation du type, 

Rs D v /G, dl . G 2 dZ . ... G m dm . mod n . 

H. Systeme selon Is revendicstior. 9 destine a urouver z une entite 
appelee controleur 1'integrite d'un message M associe a une entite appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a l'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif contrdleur associe a l'entite contrdleur ; ledit dispositif 
contrSleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleu: rcmpcrtarr des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
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tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion ; 

• etape 2 : acte de defi d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
if dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir recu le jeton T, les defis d en nombre egal au 
nombre d'engagements R , 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif contrdleur, pour 
transmettre les defis d au demonstrateur, 

• Itape 3 : acte de reponse D 

les racyens de reception des defis d du dispositif terse;-. : :'/f.r:: risq-oe 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

• Itape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
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valeurs publiques G„ G 2 , ... G m , pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 
satisfaisant a une relation du type : 

R'sGj dl . G^. ... G m *" . D v mod n 

ou a une relation du type : 

R' = D v /G, dl .G 2 d2 ....G m d,n . modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 

comme arguments Ie message M et tout ct pan-- de chaque engagement 
reconstruit R% un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T* au jeton T recu. 

12. Systeme selon la revendication 9 destine a produire la signature 
numerique d'un message M, ci apres designe le message signe, par une 
entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit systeme etant tel qu'il comporte un dispositif signataire associe a 
Tentite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens d'interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
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selon la revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d'interconnexion; 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de caicui au dispositif signataire, apphquar," un? foncticr. c 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d , recoivent chaque defi d provenant du 
dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
ies moyens de transmission du dispositif temoin, pou: uansmetor* iec 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

13. Syst&ne selon la revendication 11 destine a prouver 
1' authenticity du message M en controlant, par une entite appelee 
controleur, le message signe; 

ledit systeme etant tel qu'il comporte un dispositif controleur associe a 
1' entite controleur ; ledit dispositif controleur se presentant notamment 
sous la forme d'un terminal ou d'un serveur distant ; ledit dispositif 
controleur comportant des moyens de connexion pour le connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique, notamment via un reseau de communication informatique, au 
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dispositif demonstrates ; 

ledit dispositif signataire associe a l'entite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le~dispositif controleur dispose 
d'un message signe comprenant: 
- le message M, 

- les dens d et/ou les engagements R> 

- les reponse D 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

< e les moyens de calcul et oe comparaison ci; cispcsiti: controieu: 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

RsGj dI .G 2 ... G m dm • D v mod n 
ou a des relations du type : 

R = D v /G 1 dl .G 2 d2 ....G m din . modn 
• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 
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dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R 5 satisfaisant a 
des relations du type : 

R' = G, dI . G 2 d2 . ... G m am . D v modn 

ou a des relations du type : 

R' = D V /G, d, .G 2 d2 ....G m dm . modn 

• < ies moyens de caicui et de comps-^iEcr. ox dispositif controleu; 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas oik le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d'=h(M,R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R les defis d' et les reponses D, satisfont a 
des relations du type : 

RsG, d 1 . G 2 d ' 2 . ... G m d ' m . D v mod n 
ou a des relations du type : 

R = D v / G, d I . G 2 d ' 2 . ... G m d ro . mod n 
14. Systeme selon l'une quelconque des revendications 9 a 13 tel 
que les composantes Qi, t , Qi, 2 , ... Qi, , des valeurs privees Q u sont des 
nombres tires au hasard a raison d'une composante Q t j (Qi, j = Qi mod pj) 
pour chacun desdits facteurs premiers p j5 lesdites valeurs privees Q, 
pouvant etre calculees a partir desdites composantes Qi, , , Qj, 2 ... Qi, f par 
la methode des restes chinois, 
lesdites valeurs publiques Gj, etant calculees 
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• en effectuant des operations du type 

G ki = QiYmodpj 

• puis en appliquant la methode des restes chinois pour etabiir Gj tei que 

G t . Qj v = 1 . mod n ou G $ = Q| V mod n ; 

15. Systeme selon la revendication 14 tel que I'exposant public de 
verification v est un nombre premier, 

16. Systeme selon Tune quelconque des revendications 9 a 13 
[edit exposan.1 v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G 4 etant le carre g 2 d'un nombre de base g, inferieur 
aux f facteurs premiers p i9 p 2 , ... p f ; le nombre de base g s etant tel que : 

les deux equations : 

x 2 = g s mod n et x 2 = -g s modn 
n'ont pas de solution en x dans l'anneau des entiers modulo n 
et tel que : 

T equation : 

x v = gj 2 mod n 

a des solutions en x dans l'anneau des err::.^>r. r/_:^;.^ 

17. Dispositif terminal associe a ime entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a dispositif controleur, 

- Tauthenticite d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q 15 Q 29 ••• Q m et publiques G l9 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi, P 25 • • • Pf ( f etant superieur ou egal a 2), 
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- un exposant public v ; 



ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type: 



ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers pj et/ou des parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou des m 
vaieurs pnvees Q, et/ou des f.in compos antes Q i; i (Q=, _ ~ Q. mod des 
valeurs privees Qjet de 1' exposant public v ; 
le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
l'anneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

RiSr^modpi 

ou r ; est un alea associe au nombre premier p, tel que 0 < r, < r , chaque r, 

appanenant a une coiiection d'aleas {e-, 5 t 2 5 .«= v fj procuns par ies 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque defi d comportant m entiers dj ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 



Q . Q, v = 1 . mod nouGjS Q^mod n ; 




I>i s r { . Q u dl . d2 .... *" mod Pi 

puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

fly a autant de reponses D que de"d6fis d que ^engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

18. Dispositif terminal selon la revendication 17 destine a prouver 

{'authenticity d 5 une entile appeiee demonstrateur a u~ c entire appeie- 
controleur ; 

ledit dispositif terminal etanttel qu'il comporte un dispositif demonstrateur 
associe a l'entite demonstrateur, ledit dispositif demonstrateur etant 
interconnect^ au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 

mxormauque, a un dispositif centre ieur associe l :'ent;;= ccnreieu: ; iecr; 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
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moyens ^interconnexion ; 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion, 

• etape 2 et 3 : acte de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, recoivent chaque 
den d proveixant du dispositif conu'oleu; iec mover.*; de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
^'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

19. Dispositif terminal selon la revendication 17 destine a prouver a 
une entite appelee controleur Tintegrite d'un message M associe a une 
entite appeiee demonstratem, 

ledit dispositif terminal etanttel qu'il comporte un dispositif demonstrateur 
associe a Tentite demonstrateur, ledit dispositif demonstrateur 6tant 
interconnects au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a Tentite controleur ; ledit 
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dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer ies etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

■ le dispositif temoin comport? der mcyenr de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion ; 

• etape 2 et 3 : acte de defi d, acte de reponse 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , vis les mcy«.s ^ r-cnnexicr., au dispositn au 
controleur, 

les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 
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20. Dispositif terminal selon la revendication 17 destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

lech dispositif terminal etant tel qu'iJ compcrtf ar dispositff signature 
associe a l'entite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a 1' entite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveui distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d' interconnexion; 

• etape 2 : acte de defi d 
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le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments ie message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 
les moyens de reception des defis d recoivent les defis d provenant du 
dispositif signataire. via les moyens d' interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des d6fis d en appliquant le processus specifie selon la 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

22. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite contrdleur, 
destine a prouver a un serveur controleur, 

- l'authenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entitr... 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , .... Q m et publiques G„ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
p ls p 2 , ... p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs 6tant lies par des relations du 
type : 

G|.Qi V =l .modnouGi^Q^modii; 

ou Q, designe une valeur privee, inconnue du dispositif controleur, 
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associee a la valeur publique G s . 

23. Dispositif controleur selon la revendication 22 destine a prouver 
l'authenticite d'une entite appelee demonstrateur a une entite appelee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 

informatique. i un dispositif demonstrateur sssocjV s Ventitf 
demonstrateur; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etape 1 et 2 : acte ({'engagement R, acte de d6fi 

ledit dispositif contrdleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, chaque defi d 
comportant m entiers d, , ci-apres appeles defis elementaires 

io uiSpuSiiii </OiiUGiCUr ^OnipOi — ■- -- - — . ■• - 

designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse, acte de controle 
le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 




cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de reception du dispositif controleur ont repus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposaht des m valeurs publiques Gj, G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' m G, dl . G 2 ^ ... G m *» . D v mod n 
ou a une relation -du type. 

R' = D V /G, dl . G 2 ^. ... G m dm . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re$us, 
cas ou le demonstrateur a transmis Pint^gralite de chaque engagement 
R 

dans le cas ou les moyens de reception du dispositif controleur ont repus 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G lf G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 

du type : 

— f-* cl <r* c7 c~ dr. v-." <- A 

— vjij . v>2 • * a * ^"m * 

ou a une relation du type, 

R = D v / G x dl . G 2 d2 . ... G m dm . mod n . 
24. Dispositif controleur selon la revendication 22 destine a prouver 
Tintegrite d'un message M associe a une entite appelee demonstrateur, 
ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a Tentite 
demonstrateur; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 
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• etapes l et 2: acte d'engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du demonstrateur, via les moyens de connexion, 
le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir recu le jeton T, des defis d en nombre egal au 
nombre d'engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis elementaires, 

ie dispositif controleur comporte aussi des moyens de trar.£niicsioi-. ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse D, acte de contrSle 
le dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

le dispositif contrdleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif contrdleur, disposant des m valeurs publiques G„ G 2 , ... G m , pour 
d'une part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement re-construi'i R 5 satisfaisant & une reiatior. cv ~fi? 

R' = G, dl . G 2 °. ... G m dra . D v mod n 
ou a une relation du type : 

R' = D v / G, dl . G 2 d2 . ... G m dm . mod n 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T', 

le dispositif contrdleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T recu. 

25. Dispositif controleur selon la revendication 22 destine a prouver 
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Fauthenticite du message M en controlant, par vine entite appelee 
controleur, le message signe; 

le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprenant: 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D ; 

leak dispositif controleur comportant des moyens de nciinexicn pour if 

connecter electriquement, electromagnetiquement, optiquement ou de 

maniere acoustique, notamment via un reseau de communication 

informatique, a un dispositif signataire associe k Tentite signataire ; 

ledit dispositif controleur ayant re?u le message signe du dispositif 

signataire, via les moyens de connexion, 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

* cas cii Le controleur dispose des eagagenients Fl des delis o, <ie.i 
reponses D, 

dans le cas ou le dispositif controlexir dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = Gj dl . G 2 « . . . G m *» • D v mod n 
ou a des relations du type : 

R = D v /G 1 d, -G 2 d2 --..G m dm . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
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verifient que le message M, les defis d et les engagements R satisfont a la 

fonction de hachage 

d = h(M,R) 

• cas oft le con troleur dispose des defis det^des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R> = G x dl . G 2 ^ . . . G m dm . D v mod n 
ou a des relations du type : 

R' = D V /G X dl . G 2 d2 . ... G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d 5 tei que 

d' = h(M,R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G 1 dl .G 2 d2 ....G m dm .D v modn 

ou a des relations du type : 

R = D v /G 1 d,1 .G 2 d2 ....G m dm . modn 
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Revendications 

1. Procede destine a prouver a une entite controleur, 

- Tauthenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametTes suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q u Q 2 , ... Q m et publiques G l9 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- uii module public n constitue par !e produit de '? facteurs premiers 
p„ p 2 , ... p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G s . Qi v s 1 . mod n ou d = Qj V mod n ; 
ledit procede met en ceuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers p { et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Q x et/ou des f.m composantes Q, tJ (Q it j s Qginod pj) des valeurs 
privees Qjet de r exposant public v ; 

- It lemcin calcuie des engagements R dar.s l'£r.n?.2 m : oes entieri 
modulo n ; chaque engagement etant calcuie en effectuant des operations du 
type 

Risr^modpi 

ou Tj est un alea associe au nombre premier p t tel que 0 < r { < p { , chaque r t 
appartenant a une collection d'aleas {r x , r 2 , r f } , puis en appliquant la 
methode des restes chinois, 

- le temoin re9oit un ou plusieurs defis d ; chaque defi d comportant 
m entiers dj ci-apres appeles defis elementaires ; le temoin calcuie a partir 
de chaque defi d une reponse D en effectuant des operations du type : 

Di ■ r, . Q M dl . Qi, 2 .. . Qi, m dm mod Pi 
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puis en appliquant la methode des restes chinois ; 



ledit procede etant tel qu'il y a autant de reponses D que de defis d que 

d' engagements R, chaque groupe ae nombres R, a, D constituant un triplet 
note {R, d, D}. 

2. Procede selon la revendication 1 destine a prouver l'authenticite 
d'une entite appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateur comprenant le temoin ; 

lesdite? entiles demonstrateur et controleur executant le? elapes suivantes : 

• etape 1 : acte d 'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou partie de chaque 
engagement R, 

• etape 2 : acte de defi d 

- le controleur, apres avoir re9u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d 'engagements R et transmet 
les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin caicuie des reponses D £ z^r::: c^: r ;s n *~ sppHqusnt If 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 

- le demonstrateur transmet chaque reponse D au controleur, 

eas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrateur a transmis une partie de chaque engagement 
R, le controleur, disposant des m valeurs publiques G u G 2 , ... G m , calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R> ■ G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 
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R' = D v / Gj dl . G 2 dZ . ... G m dm . mod n , 
le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
cas oii le demonstrateur a transmis l'integralite de chaque engagement 
R 

dans le cas ou le demonstrateur a transmis l'integralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G l9 G 2 , ... 
G m , verifie que chaque engagemeni F; sa-isfa:t a une relation du type : 

R m q x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

RsDV G x dl . G 2 d2 . ... G m dm . mod n". 
3. Procede selon la revendication 1 destine a prouver a une entite 
appelee controleur Tintegrite d'un message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• 6tape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

e etape 2 : acte de defi d 

- le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le controleur, apres avoir re$u un jeton T, produit des defis d en nombre 
egal au nombre d' engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1 , 

• etape 4 : acte de controle 
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- le demonstrates transmet chaque reponse D au control eur, 

- le controleur, disposant des m valeurs publiques G 2 , ... G m , calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R' = D v /G 1 dl .G 2 d2 .... G m dm . modn 

- pins Le controleur applique le fonctxon de hachage ay an': rommf 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton 

- puis le controleur verifie que le jeton T' est identique au jeton T transmis. 

4. Procede selon la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 

ladite entite signataire execute une operation de signature en vue d'obtenir 
un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- ies reponscs D * 

ladite entite signataire execute Toperation de signature en mettant en oeuvre 
les etapes suivantes : 

• etape 1 : acte d 'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d 'engagements R, 




• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant Ie 
processus specif ie selon la revendication 1. 

5. Precede selon la revendication 4 destine a prouver Tauthenticite 
du messageTM en controlant, par : m^eniit€ appelee controleur, le message 
signe; 

ladite entite controleur disposant du message signe execute une operation 

de centre) e en proceriam comme suit : 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas oil le controleur dispose des engagements R, des defis d, des 
reponses D, 

• • le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R e G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R»DVGi dI .G 2 d2 . ... G m dm . modn 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a ia fcncticn cie hachage 

d = h (M, R) 

• cas ou le controleur dispose des defis d et des reponses D 

dans le cas ou Ie controleur dispose des defis d et des reponses D, 

• • le controleur reconstruit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant a des relations du type : 

R' B G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R'sDV G x dl . G 2 **. ... G m dm . mod n 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 




d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le controleur dispose des engagements R et des reponses D, 

• • le controleur applique la fonction de hachage et reconstruit d' 

• • le controleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R s Gi d ' 3 - G 2 d *\ ... G, : ^ r \ ir nicd n 
ou a des relations du type : 

RsDVGj dl . G 2 d ' 2 . ... G m d m . mod n 

6. Procede selon Tune quelconque des revendications 1 a 5 tel que 
les composantes Q Uf Q u , ... Qi, r des valeurs privees Q lf sont des 
nombres tires au hasard a raison d'une composante Q x j(Qi,j ■ Qiinod Pj) 
pour chacun desdits facteurs premiers pj, lesdites valeurs privees Qi 
pouvant etre calculees a partir desdites composantes Q UI , Q i>2 ••• Qi,f par 
la methode des restes chinois, 

lesdites valeurs publiques G,, etant calculees 

• en effectuant des operations du type 

• puis en appliquant la methode des restes chinois pour etablir Gj tel que 

Gj . Qi v = 1 • mod nouGjS Qi v mod n ; 

7. Procede selon la revendication 6 tel que Pexposant public de 
verification v est un nombre premier, 

8. Procede selon Tune quelconque des revendications 1 a 5 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gj etant le carre gj 2 d'un nombre de base gi inferieur 
aux f facteurs premiers p x , p 2 , ... Pf ; le nombre de base gj etant tel que : 




les deux equations : 

x 2 a & mod n et x 2 = - gj mod n 

n'ont pas.de solution en x dans Tanneau aes entiers moduio n 
et tel que : 

Inequation : 

x v = g 2 mod n 

a des solutions en x dans l'anneau des entiers modulo n . 

9c System e destine a prouver a un servsur centre! em , 

- Tauthenticite d'une entite et/ou 

- I'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q l9 Q 2 , ... Q m et publiques G 2 , ... 
G m (m etant superieur ou egal al), 

- un module public n constitue par le produit de f facteurs premiers 
Pi? P2» ••• Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

Gjc Qi v - 1 * mod r- cu G : 5= Q : v r; . 
ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur, 

le dispositif temoin comporte une zone memoire contenant les f facteurs 
premiers Pi et/ou des parametres des restes chinois des facteurs premiers 
et/ou du module public n et/ou des m valeurs privees Q { et/ou des f.m 
composantes Q Uj (Q u m Qjmod pj) des valeurs privees Qjet de Texposant 
public v ; 

le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 



production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Fanneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

Rjsr^modpi 

ou r { est un alea associe au nombre premier Pi tel que 0 < r { < p { , chaque r, 
apparienani a une collection d'aleas {r x 5 r- « ... r f> ; prccu;:: pa: ies mcyen- 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers d, ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

D^v Q M dl . Q lt2 * ... Q i>m dm mod p { 
puis, en appliquant la methode des restes chinois ; 

- des moyens ae transmission pour trans :r.e::: ; : :u p-usieurc. 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d 'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

10. Sy steme selon la revendication 9 destine a prouver l'authenticite 
d'une entite appelee demonstrateur a une entite appelee controleur ; 
ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a Tentite demonstrateur, ledit 
dispositif demonstrateur etant interconnects au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
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d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a l'entite controleur ; ledit dispositif 
controleur se presentant notamment sous ia forme d'un terminal ou d ? un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrates ; 
ledit systeme permettant d'executer ler etaper sulvantej: 

• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

- le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designe les moyens de transmission du dispositif demonstrateur, pour 
transmettre lout ou partie de chaque engagers r." S z\: dispositif controleur, 
via les moyens de connexion ; 

• etape 2 : acte de defi d 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re9u tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d'engagements R, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re9oivent chaque 




defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de caicui des reponses D du dispositif ternoin caiculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
re vendi cation 9, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 

D au ccntroleur 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 19 G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R- saiisfaisant a une relation du type : 

R' ^ d dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R' eDVG/ 1 . G 2 d2 . ... G m dm . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re$us, 
cas ou le demonstrateur a transmis Pintegralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
Pintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 




Gi, G 2 , ..• G m , verifient que chaque engagement R satisfait a une relation 
du type : 

RsGj dl . G 2 d \ ... G m 6m . D v moo n 
ou a une relation du type, 

RsD v /G, dl .G 2 d2 . ... G m dm . mod n . 

11. Systeme selon la revendication 9 destine a prouver a une entite 
appelee control eur l'integrite d'un message M associe a une entite appelee 

demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a 1 'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnect^ au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a l'entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optia ucment ol ae maniere acoustiq t»e 5 notamme:;'' w :c- vr. r^se^v c c 
communication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'executer les etapes suivantes : 
• etape 1 : acte d 'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 
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• etape 2 : acte de defi d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via lec moyens c? connexion, au dispositif au 
controleur, 

le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re9U le jeton T, les defis d en nombre egal au 
nombre d'engagements R , 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G u G 2 , ... G m , pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 



satisfaisant a une relation du type : 

R' s G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R' s D v /G 1 dl .G 2 d2 ....G m dm . modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R\ un jeton T% 

Se dispositif controleur compone ausci gce nicyer? de compsraison, ci-aprec 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re9U. 

12. Systeme selon la revendication 9 destine a produire la signature 
numerique d'un message M, ci apres designe le message signe, par une 
entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit systeme etant tel qu'il comporte un dispositif signataire associe a 
I ? entite signataire, ledit dispositif signataire e:a:u iruerccnnect s au dispositif 
temoin par des moyens d'interconnexion et pouvant se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
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designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d 'interconnexion; 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pcu: calculer ur; train blnaire et extraire de ce train bir.alrp oer defi* d er. 
nombre egal au nombre d' engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d , re9oivent chaque defi d provenant du 
dispositif signataire, via les moyens d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendi cation 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

13. Systeme selcn la revencicaticr; 1 czv.-A z prow-: 
l'authenticite du message M en controlant, par une entite appelee 
controleur, le message signe; 

ledit systeme etant tel qu'il comporte un dispositif controleur associe a 
Tentite controleur ; ledit dispositif controleur se presentant notamment sous 
la forme d'un terminal ou d'un serveur distant ; ledit dispositif controleur 
comportant des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur ; 
ledit dispositif signataire associe a l'entite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
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signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant: 
- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D 

le dispositif controleur comporte : 

■- des moyens de caicuL ci-aprec designes les mcyens de caicui di: 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = d . G 2 d K ... G m drr . D v moa u 
ou a des relations du type : 

R s D v / G t dl . G 2 d2 . ... G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (M, R) 

• cas ou le controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
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des relations du type : 

R' sGj dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R'=D v /G 1 dl .G 2 d2 ....G m dm . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

e cas ou le controleur dispose des engagements P ef des reponses D 
dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (M, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R s Gj d l . G 2 d 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = D V /G; d,; . Gi d ' : . G n . - Ttioc u 
14. Systeme selon Tune quelconque des revendications 9 a 13 tel que 
les composantes Q u ,Q i|2 , ... Q i( f des valeurs privees Q u sont des 
nombres tires au hasard a raison d'une composante Q l0 (Qi,j = Qjmod pj) 
pour chacun desdits facteurs premiers pj, lesdites valeurs privees Q, 
pouvant etre calculees a partir desdites composantes Q ltl , Q l>2 Qi,f par 
la methode des restes chinois, 
lesdites valeurs publiques G i5 etant calculees 

• en effectuant des operations du type 

G u - Q u v mod Pj 

• puis en appliquant la methode des restes chinois pour etablir G, tel que 
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Gi. Qs v ■ 1 . mod nouGjS Q^mod n ; 

15. Sy steme selon la revendication 14 tel que l'exposant public de 
verification v est un nombre premier, 

16. Systeme selon l'une quelconque des revendications 9 a 13 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

iadiie valeur publique G; etant le carre g/ d'un nombr* dc- base g f inferieur 
aux f facteurs premiers p l9 p 2 , ... Pr ; le nombre de base g s etant tel que : 

les deux equations : 

x 2 ■ gj mod n et x 2 a - g t mod n 
n'ont pas de solution en x dans 1'anneau des entiers modulo n 
et tel que : 

r equation : 

x v s gj 2 mod n 
a des solutions en x dans 1'anneau des entiers modulo n . 

17. Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
uaricairc s. niicrcprocesseur, gcs ti r*£ a picuver a gis^ccl:- --• • - - — - ^ . s. ~ . . 

- r authenticity d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G„ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2> ••• Pf (X ^ tant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type: 
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Gi . Qj V = 1 . mod n ou Gj = mod n ; 

ledit dispositif terminal comprend un dispositif temoin comportant une zone 
memoire contenant les f facteurs premiers p 4 et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qj et/ou des f,m composantes Q u (Qi,j = Qimod pj) des valeurs 
privees Q { et de l'exposant public v ; 
le dispositif temoin comporte aussi : 

- des moyens de production c'a-eas. -acres: dedgnes les mcyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
l'anneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

Ri s rj v mod pj 

ou Tj est un alea associe au nombre premier p { tel que 0 < r { < p { , chaque r t 
appartenant a une collection d'aleas {r { , r 2 , r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
le dispositif temoin comporte aussi : 

- des rncyens de reception, ci-apres ziz.^rAL \z>z ir.cyeus de recepticr: 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

Di ■ r, . Q M dl . Qi, 2 **. ... Qi,m dm mod Pi 
puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d'engagements R, chaque 
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groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

18. Dispositif terminal selon la revendication 17 destine a prouver 

r authenticity d'une entite appeiee Gerncnsiraieui a une entile appeiee 
control eur ; 

ledit dispositif terminal etant tel qiTil comporte un dispositif demonstrateur 
associe a I'entite demonstrateur, ledit dispositif demonstrateur etant 
interconnect^ au dispositif temoin par des moyens d'interconnexion et 

pouvant se presenter notamment sous Is forme- de microctrcuits logioues 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a I'entite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 
• etape 1 : acte d 'engagement R 

- a chaque appeK les moyens de caicu' oes engagements F du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion, 




• etape 2 et 3 : acte de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif controieur via ies moyens ! ae connexion entre 
le dispositif controieur et le dispositif demonstrateur et via Ies moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication \1 , 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controieur qui precede au controle. 

19. Dispositif terminal selon la revendication 17 destine a prouver a 
une entite appelee controieur Fintegrite d'un message M associe a une 
entite appelee demonstrateur, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a Tentite demonstrateur, ledit dispositif demonstrateur etant 
interconnect^ au dispositif temoin par des moyens d'interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 

cans ur cbjev no mace par exempie sous la. fcrmc c : ;::; rr.i^zcnroc^zseu: 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controieur associe a l'entite controieur ; ledit 
dispositif controieur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d' engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 



temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

- ie dispositif temoin comporte des moyens de transmission, ci-apres 
designes Ies moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrates, via les 
moyens d'interconnexion ; 

• etape 2 et 3 : acte de defi d, acte de reponse 

}e dispositif demonstrates comporte des moyens de c?Aca\], ci-anre* 
designes les moyens de calcul du dispositif demonstrates, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrates comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrates, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif demonstrates, via les moyens 
d'interconnexion, 

les mcyens de caicu! des reponses D du dispositif terr.c:r. calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrates transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

20. Dispositif terminal selon la revendication 17 destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 
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- les defis d et/ou les engagements R, 

- les reponses D ; 

iedit dispositif terminal etant iei qirii comporie un dispositif signataire 
associe a l'entite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a Pentite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d 'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 

selcn ia revendicaLion 17, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'interconnexion; 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre egal au nombre d'engagements R, 
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• etape 3 : acte de reponse D 

les moyens de reception des defis d regoivent les defis d provenant du 

dispositif signataire, via les moyens dMnterconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
^ponses-B^partif^de^ 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin. pour transmettre 
les reponses D au dispositif signataire, via les moyens d 5 interconnexion. 

21. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 
destine a prouver a un serveur controleur, 

- l'authenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q ly Q 2 , ... Q m et publiques G u G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
P I5 p 25 ccc p f (f etant superieur ou epg; h 7), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type: 

Gj . Qi V a 1 . mod n ou Gj s Qi V mod n ; 

ou Qj designe une valeur privee, inconnue du dispositif controleur, associee 
a la valeur publique G t . 

22. Dispositif controleur selon la revendication 21 destine a prouver 
Fauthenticite d'une entite appelee demonstrateur a une entite appelee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 




connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamrnent via un reseau de communication 
informatique, a un dispositif demonstrateur associe a Peritite demonstrateur; 
ledit dispositif controleur permettant d'executer les etapes suivantes : 

r^tape 1 et 2 : acte d 'engagement R7acte de defi" 
ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d'engagements R, chaque defi d comportant 
m entiers d { , ci-apres appeles defis elementaires 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 
• etapes 3 et 4 : acte de reponse, acte de controle 

le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonsirateur, via ies moyeriS oe connexion. 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de reception du dispositif controleur ont re9us 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G lf G 2 , G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 



R' ^ G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R 5 s D v /Gx dl . G 2 d7 . ... G m 6n: . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
enpg^nrentrecoTO 

cas oii Ie demonstrateur a transmis Pintegralite de chaque engagement 
R 

dans Ie cas ou ies moyens de reception du dispositif controleur ont recus 
l'integralite de ehaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G 2 , ... G ro , verifient que chaque engagement R satisfait a une relation 
du type : 

RsGi dl .G 2 d2 . ... G m dm . D v mod n 

ou a une relation du type, 

R ■ D v / G x dl . G 2 d2 . ... G m dm . mod n . 

23. Dispositif controleur selon la revendication 21 destine a prouver 
Tintegrite d'un message M associe a une entite appelee demonstrateur, 
ledit dispositif controleur comportant des moyens de connexion pour Ie 
connecter electriquemenL eiectrcmagnet:cuen:en" : octiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a l'entite demonstrateur; 
ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi 
ledit dispositif controleur comporte aussi des moyens de reception de jetons 
T provenant du demonstrateur, via les moyens de connexion, 
le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir regu le jeton T, des defis d en nombre egal au 
nombre d'engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis elementaires, 




le dispositif control eur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens ae connexion, 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 
le dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

ie dispositif oontrcieur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, disposant des m valeurs publiques G„ G 2 , ... G m , 
pour d'une part, calculer a partir de chaque defi d et de chaque reponse D 
un engagement reconstruit R' satisfaisant a une relation du type : 

R' m G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R' = D v / G x dl . G 2 d2 . ... G m dm . mod n 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R\ un jeton T% 

ie dispositif controleur comporte aussi des moyens ce con paraiscr., d-sprfcr 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re§u. 

24. Dispositif controleur selon la revendication 21 destine a prouver 
Pauthenticite du message M en controlant, par une entite appelee 
controleur, le message signe; 

le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprenant: 

- Ie message M, 

- les defis d et/ou les engagements R, 

- les reponse D ; 



• 
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ledit dispositif controleur comportant des moyens de connexion pour le 

connecter electriquement, electromagnetiquement, optiquement ou de 

maniere acousuque, notammeni via un reseau ae communication 

informatique, a un dispositif signataire associe a Fentite signataire ; 

ledit dispositif controleur ayant re9u ie message signe du dispositif 

signataire, via les moyens de connexion, 

le dispositif controleur comporte : 

- des mcvens de calcuL ci-apref designee les mcvens de caieu! dv 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

1R = G: d! . G : . d '- rr< G r , dn: , mod r 
bu a des relations du type : 

RsDV^ dI ,G 2 d2 . ... G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (M, R) 

• cas ou le contrdleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 



des relations du type : 

R' s d dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R , sD v /G 1 dl .G 2 d2 . ...G m ** . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

e cas ou controleur dispose des engagement <: R cm des reponses D 
dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (M, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R s G t d I . G 2 d ' 2 . ... G m d m . D v mod n 

ou a des relations du type : 

RsDV G, d ' : c G 2 c ' 2 e ... G m d,|r . mcd r. 
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